Le démarcharge téléphonique : vers la fin du système d’opposition a posteriori ?

le démarcharge téléphonique

Le démarchage téléphonique est au cœur d’un important dilemme juridique tant au niveau européen qu’au niveau national. Gênants et perturbants pour les particuliers, mais essentiels pour de nombreuses entreprises, ces appels à répétition sont sujets à de vives tensions. L’article L221-16 du code de la consommation[1] défini le démarchage téléphonique comme la démarche « d’un professionnel qui contacte un consommateur par téléphone en vue de conclure un contrat portant sur la vente d’un bien ou d’une fourniture de service ».

Le consentement du prospect est le point névralgique de l’encadrement de cette pratique commerciale. Peut-on contacter une personne qui ne s’est pas expressément opposée à ces appels ou doit-on se contenter de contacter strictement des personnes qui ont préalablement consenti à recevoir de la prospection par téléphone ?

Malgré le renforcement des règles relatives à la liberté du consentement, qui peut être retiré à n’importe quel moment selon les articles 6 et 7 du Règlement général sur la protection des données[2] (ci-après le RGPD)[3][4], le législateur européen a d’abord retenu la solution de l’opposition a posteriori. Un système d’opt-out qui interdit les démarcheurs de contacter des personnes ayant refusé de recevoir de la prospection commerciale est ainsi mis en place. Ce régime se retrouve dans les dispositions de l’article 16 de la directive vie privée et communications électroniques[5] (ci-après « directive ePrivacy ») du Parlement Européen et du Conseil du 12 juillet 2002.[6]. Ce système n’a d’ailleurs pas été remis en cause par la proposition de règlement européen[7] de 2017, toujours en cours de discussion.

Cette solution a été reprise par le législateur français qui encadre le démarchage téléphonique à l’article L223-1 du code de la consommation[8]. Ainsi, il est autorisé de démarcher toutes les personnes qui ne se sont pas préalablement inscrites sur la liste d’opposition « Bloctel ». Il existe d’ailleurs des exceptions où ces personnes peuvent tout de même être démarchées, notamment « en cas de sollicitations dans le cadre de l’exécution d’un contrat en cours et ayant un rapport avec l’objet de ce contrat y compris lorsqu’il s’agit de proposer au consommateur des produits ou des services afférents ou complémentaires à l’objet du contrat en cours ou de nature à améliorer ses performances ou sa qualité ». Le démarchage téléphonique n’est donc pas interdit par principe en France.

Si ce système d’opt-out semble instaurer un équilibre entre les intérêts des entreprises et ceux des particuliers, de nombreuses jurisprudences tant nationales qu’européennes viennent démontrer l’insatisfaction des citoyens vis-à-vis de ces textes. En effet, on ne peut qu’admettre l’existence de nombreux abus perpétrés par des entreprises parasitant la vie de nombreuses personnes.

Le démarchage téléphonique est un sujet très actuel qui fait l’objet d’une jurisprudence abondante de la part des autorités de contrôle européennes. Ces dernières ont décidé de hausser le ton et ont été très actives ces derniers mois. On peut citer l’Information Commissioner’s Office (ci-après l’ICO), autorité de contrôle britannique, qui a rendu deux décisions le 12 décembre 2024. Tout d’abord, elle est venue sanctionner la société Money Bubble Ltd[9] pour avoir effectué du démarchage téléphonique sur des personnes s’y étant opposé via la société Telephone Preference Service Ltd (ci-après TPS), qui est mandatée pour gérer le registre des oppositions pour le compte de l’ICO. En l’espèce, l’ICO a reçu, directement ou via TPS, plus de deux cents plaintes concernant des appels non sollicités relatifs à des assurances vie provenant de la société. L’ICO fonde sa décision sur les articles 21 et 24 de la Privacy and Electronic Communications Regulations de 2003[10]. Elle rappelle qu’il est interdit d’effectuer du démarchage téléphonique sur des clients qui ont indiqué préalablement leur opposition et aux personnes qui sont listés sur le registre des oppositions. Il est nécessaire pour le démarcheur d’obtenir le consentement préalable des personnes inscrits sur la liste.

L’ICO est également venue sanctionner la société Breathe Services Ltd[11] pour les mêmes motifs que la décision précédente. En l’espèce, la société avait également effectué des appels de prospection commerciale (plus de 4 millions !) sur des contacts apparaissant pourtant dans le registre des oppositions.

L’autorité italienne de protection des données, la Garante per la Protezione dei Dati Personali (ci-après « la Garante »), a également dû sévir il y a peu dans une décision du 12 septembre 2024, concernant l’activité de démarchage téléphonique de la société Sky.[12] En l’espèce, après avoir vérifié dans le registre public d’opposition des appels la liste des numéros contactés par la société, la Garante s’est aperçue que 644 contacts y étaient inscrits. La société a tenté de se défendre en arguant le fait que beaucoup de ces contacts étaient déjà des clients et qu’une partie seulement étaient des prospects, donc des clients potentiels. La Garante a néanmoins décidé de sanctionner la société en violation des articles 5 §1 et 6§1 du RGPD ; elle a en l’espèce estimée que la société avait utilisé des données personnelles sans vérifier l’existence d’un quelconque consentement. Elle  reproche donc à la société d’avoir effectué du démarchage sur des personnes inscrites dans le registre public des oppositions.

Les problématiques liées au démarchage téléphonique sont également bien visibles dans l’Hexagone. Il est à noter toutefois qu’une décision du Tribunal administratif de Rennes du 16 octobre 2024[13] est allée dans le sens de la société démarcheuse. Le Tribunal a déclaré incompatible l’interdiction de la prospection commerciale sans consentement préalable dans le secteur de la rénovation énergétique, fondée sur l’article L223-1 du code de la consommation avec la directive européenne de 2005. En effet, cette restriction n’étant pas prévu par la directive, et dans une logique d’harmonisation avec le droit européen, le Tribunal a donc estimé qu’il ne fallait pas interdire ce type de prospection sans consentement préalable.

Ces différentes jurisprudences sont le reflet des difficultés amenées par l’encadrement juridique du démarchage téléphonique en France et en Europe. En effet, il est nécessaire d’harmoniser le droit européen sur la question. Semblant plus qu’inefficace pour enrayer les abus subis par les personnes concernées, le système d’opposition par opt-out vit peut-être ses dernières heures. Une nouvelle proposition de loi[14] visant à interdire le démarchage téléphonique a été déposée le 30 septembre 2024 devant le Sénat. Elle visait à faire basculer le système existant vers un système d’opt-in, créant ainsi une « liste de consentement » où les particuliers pourraient s’inscrire s’ils souhaitent recevoir de la prospection commerciale. On passerait ainsi sur un régime d’interdiction par principe du démarchage téléphonique sans consentement préalable avec toutefois des exceptions prévues comme lorsque la prospection commerciale concerne la fourniture de journaux, de périodiques ou de magazines.

Si le législateur avait auparavant toujours fermé ses portes au système d’opt-in, il ne semble plus exclu qu’il rejoigne certains de ces homologues européens qui ont déjà effectué ce revirement.

Le Sénat a adopté en première lecture le 14 novembre 2024 un texte titré : « proposition de loi pour un démarchage consenti et une protection renforcée des consommateurs contre les abus ».[15] Si cette « liste de consentement » n’apparait plus dans le texte adopté, le Sénat décide d’interdire le démarchage téléphonique sur un consommateur qui n’y a pas préalablement consenti. Cette position pourrait avoir des conséquences dramatiques pour les nombreuses entreprises dont le démarchage est l’activité principale voire l’unique activité.

Il faudra attendre la position de l’Assemblée nationale dans les prochains mois, le texte ayant été transmis par le Sénat le 15 novembre 2024.

Néanmoins, l’issue semble évidente puisque l’Assemblée nationale n’a pas attendu de statuer sur le texte pour prendre position. En effet, elle a annoncé le 1er janvier 2025 avoir adopté la « Résolution Européenne invitant le Gouvernement à se prononcer en faveur de la modification du régime du démarchage téléphonique au niveau européen »[16] dans laquelle il est fait mention justement d’intégrer le système d’opt-in dans les textes européens afin d’harmoniser les nouvelles règlementations en matière de démarchage téléphonique et sms.


[2] Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[5] Directive 2002/58/CE du Parlement Européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques

[7] Proposition de Règlement 2017/003 du Parlement Européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE.

[10] Privacy and electronics Communications Regulations, art 21 et art 24

[14] Proposition de loi n°782 visant à interdire le démarchage téléphonique,30 sept. 2024, rectifiée

[15] Proposition de loi n°24 pour un démarchage téléphonique consenti et une protection renforcée des consommateurs contre les abus, 14 nov. 2024 adoptée en première lecture

LUMIÈRE SUR … les transferts de données et la sanction record d’Uber par l’autorité néerlandaise

Le 29 septembre 2020, à la suite d’une première plainte qui donnera lieu à une première condamnation d’Uber[1], l’association « Ligue de défense des droits de l’homme » (ci-après LDH) représentant 172 chauffeurs Uber dépose une seconde plainte auprès de la CNIL. Cette fois, la LDH met en avant que la position d’Uber sur les transferts de données n’est pas claire à la suite de l’invalidation du «Privacy Shield[2]» et que les clauses contractuelles types nécessitent des mesures supplémentaires pour qu’il soit reconnu un niveau de protection équivalent . Le 11 janvier 2021, la CNIL transfère la plainte à l’AP, Uber ayant son établissement principal localisé aux Pays-Bas et l’AP agissant en tant qu’autorité chef de file en vertu du mécanisme de guichet unique [3]. À la suite de l’instruction, le 22 juillet 2024, l’AP condamne solidairement Uber Technologie Incorporation (société mère ci-après « UTI ») et Uber B. V. ( ci-après « UBV ») filiale et établissement principal domicilié aux Pays-Bas à une somme de 290 millions d’euros pour non-respect de l’article 44 du RGPD relatif aux transferts. Il est précisé que cette décision n’est pas définitive et qu’Uber a déjà interjeté appel.

 

Faits :

 

Uber est le nom de la plateforme électronique (ci-après « Plateforme ») développée par UTI. Le siège social d’UTI est situé à San Francisco aux États-Unis. La plateforme Uber est représentée dans l’Espace économique européen (ci-après « EEE ») par UBV. La Plateforme permet aux passagers de commander des services de transport. Pour accéder à la Plateforme, les chauffeurs Uber de l’EEE doivent signer un contrat avec UBV. S’ensuit une procédure de collecte de données afin de vérifier certaines obligations légales (données de compte, documents d’identité, permis de conduire, données de santé, licences de taxi, etc.). Lors de cette procédure de collecte, les données sont directement versées dans la Plateforme par les chauffeurs, transferts étant réalisés sans intervention directe d’UBV. Selon l’avis de confidentialité d’Uber[4] , UBV et UTI sont responsables conjoints du traitement des données à caractère personnel des chauffeurs Uber sur le territoire de l’EEE. Leurs responsabilités en matière de respect des obligations du règlement général sur la protection des données[5] sont définies au sein d’un accord spécifique[6]. UBV étant responsable de traitement des données personnelles des chauffeurs dans l’EEE et UTI qui administre l’ensemble de la Plateforme qui est hébergée aux États-Unis.  De plus, dans le cadre des traitements effectués au sein de l’UE, la relation avec leurs filiales européennes s’opère via un des accords de sous-traitance (par exemple, pour ce qui concerne Uber France SAS, UBV est identifiée comme responsable de traitement et Uber France SAS comme sous-traitant). UBV mettant à la disposition de ses filiales les données des chauffeurs. Enfin, lors de l’instruction, Uber a déclaré que « Pour les transferts de données des personnes concernées vers des pays tiers, la pratique habituelle d’Uber est (et a été) de mettre en place des clauses contractuelles types (CCT) lorsqu’un pays tiers n’a pas fait l’objet d’une décision d’adéquation afin de garantir un niveau élevé de protection, et de procéder à une évaluation de la « gestion des risques par des tiers » afin d’identifier les risques potentiels et de garantir la protection des données de ses utilisateurs. »[7] Pour autant le 6 aout 2021, à la suite de la mise à jour des CCT par la Commission européenne, Uber a jugé que l’article 3 du RGPD s’appliquant pleinement du fait de l’accord de responsabilité conjointe entre UBV et UTI, a revu son accord de contrôleur conjoint afin de « supprimer les CCT et de clarifier les responsabilités des responsables conjoints ». Par la suite, aucun autre instrument de transfert (BCR ou mécanisme de certification) n’a été mis en œuvre jusqu’au 27 novembre 2023.

Ainsi en l’état des constations deux questions étaient posées à l’autorité néerlandaise, l’application de l’article 3 du RGPD relatif au champ d’application territorial exclue-t-elle l’application du Chapitre V relatif aux transferts ? (I) Dans quelles mesures y a-t-il des transferts satisfaisant aux chapitres V dans le cadre des traitements réalisés par UBV et UTI ? (II)

 

I – Articulation du champ territorial et du Chapitre V relatif aux transferts

 

La question de l’articulation du champ d’application territoriale et des transferts n’est pas nouvelle. Et passe notamment par la définition de la notion de transfert. Qui pour rappel n’a jamais été définie dans le RGPD. L’intervention du Comité européen (ci-après « CEPD ») permet de clarifier la notion de transfert, mais aussi d’appuyer sur l’articulation entre l’article 3 et le chapitre V du RGPD.

L’article 3, paragraphe 2 du RGPD a introduit une possibilité d’application extraterritoriale du règlement à des organismes situés en dehors de l’EEE. En effet, même si un organisme intervient en dehors de l’EEE, mais qu’il effectue des traitements (et ce même s’ils n’ont pas lieu dans l’Union) de données à caractère personnel relatives à des personnes qui se trouvent dans le territoire de l’Union lorsque les activités de traitement sont liées à des offres de biens ou de services ou au suivi d’un comportement qui a lieu au sein de l’UE. L’objectif étant d’éviter que les organisations situées dans des pays tiers échappent à la règlementation et aux droits ménagés pour les personnes concernées.

Cependant, dans le cas, où un organisme est déjà soumis au règlement en vertu de l’article 3, doit-il respecter les obligations relatives aux transferts de données ?

En l’espèce, UTI et UBV ont signé un accord de responsabilité conjointe dans le cadre des traitements réalisés dans le cadre de la mise à disposition de la Plateforme sur l’EEE. Et Uber effectue des traitements de données à caractère personnel relatif aux chauffeurs qui se trouvent dans l’Union. Ces activités sont bien liées à des offres de services fournis au sein de l’UE.  Ainsi, UTI est donc soumis au règlement. Mais, Uber fait valoir lors de l’instruction que lors de la publication des nouvelles CCT par la Commission européenne, le considérant n°7 dispose « le responsable de traitement ou un sous-traitant peut utiliser (…) afin de fournir des garanties appropriées (…). Les clauses contractuelles types ne peuvent être utilisées pour ce type de transferts que dans la mesure où le traitement effectué par l’importateur de données ne relève pas du champ d’application du règlement (UE) 2016/679 (en vertu de son article 3, paragraphe 2), parce qu’il est lié à l’offre de biens ou de services à des personnes concernées dans l’Union ou au suivi du comportement de ces personnes dans la mesure où il s’agit de leur comportement au sein de l’Union. Ainsi, après s’être reposé sur les anciennes CCT, Uber décide d’abandonner la référence à ces dernières le 9 aout 2021, soit un peu moins d’un mois après la publication par la Commission européenne.

Par la suite, le CEPD publie le 18 novembre 2021, des lignes directrices qui vont apporter des éléments complémentaires, notamment en définissant la notion de « transferts ». Il y a transfert lorsqu’il y a trois critères cumulatifs (i) un responsable de traitement ou sous-traitant soumis au RGPD ; (ii) un responsable de traitement ou sous-traitant exportateur qui communique par transmissions ou en rendant autrement accessible les données personnelles à autre responsable de traitement / sous-traitant (iii) que l’importateur est situé dans un pays tiers, peu importe qu’il soit soumis ou non au RGPD.

Ici, c’est le troisième critère qui insiste sur l’articulation entre l’article 3 et le chapitre V du RGPD. En effet, peu importe que l’organisation importatrice située dans un pays tiers soit déjà soumise aux obligations du règlement, elle sera obligatoirement soumise au chapitre V en présence de transferts. En l’espèce, le CEPD a retenu une approche géographique. En effet, lorsque le traitement intervient dans l’Union européenne, il n’est pas couvert uniquement par le RGPD, mais aussi par un ensemble de règles dont le pouvoir de surveillance et de contrôle des institutions et surtout la protection des droits fondamentaux [8]. Or même si une organisation est soumise au règlement, mais qu’elle agit dans un pays tiers, les personnes concernées ne bénéficient pas des mêmes mesures de protection pouvant exposer ces dernières à des risques. Cette situation est observée dans le cadre de l’arrêt Schrems II, l’accès aux données par les autorités publiques américaines dans le cadre du FISA702 et de l’EO12333 a été jugé comme allant au-delà de ce qui est « nécessaire et proportionné dans une société démocratique ». La CJUE affirme qu’il est nécessaire d’être plus protecteur et de compenser ce risque qui pèse sur les droits fondamentaux, en introduisant des obligations complémentaires et notamment un « transfert impact assessment » pour s’assurer de la protection des droits et libertés fondamentales des individus lors d’un transfert dans un pays tiers[9].

Sans surprise, ce principe est réaffirmé par l’AP dans le point 66 de la décision «  la raison d’être du transfert des données en vertu du chapitre V du RGPD est complémentaire de la raison d’être du champ d’application territorial du RGPD tel que défini à l’article 3 : « à savoir empêcher le déni, l’affaiblissement ou le contournement de la protection fournie par le droit de l’UE en ce qui concerne les données » et que toute autre interprétation de ces mécanismes conduirait à un affaiblissement de la norme requise par la CJUE.[10] En conséquence, l’application du chapitre V complète l’article 3 relatif au champ territorial du RGPD. Il sera donc nécessaire de déterminer si les traitements effectués par Uber satisfont à la définition de « transfert » établie par le CEPD.

 

II – Le cadre légal des transferts de données

 

Pour déterminer si le chapitre V est applicable, il faut déterminer s’il y a transferts de données. Une fois ces conditions remplies, il convient de déterminer dans quelles mesures ces transferts peuvent intervenir légalement.

 

 

A – Appréciation des critères relatifs aux transferts de données à caractère personnels

 

Dans le cadre des transferts, le principe est l’interdiction sauf en cas d’existence d’une décision d’adéquation [11], de garanties appropriées[12] ou de règles d’entreprise contraignantes (ou BCR)[13] mises en place avec le destinataire ou sous certaines conditions l’utilisation de certaines dérogations[14] visées par le règlement. Selon le CEPD,[15] il y a trois critères cumulatifs pour qu’une opération de traitement puisse être qualifiée de transfert (i) un responsable du traitement ou un sous-traitant (l’ « exportateur ») est soumis au RGPD pour le traitement en cause ; (ii) l’exportateur communique par transmission ou rend accessible par un autre moyen des données à caractère personnel, qui font l’objet de ce traitement, à un autre responsable du traitement, responsable conjoint du traitement ou sous-traitant (l’ « importateur ») ; (iii) l’importateur se trouve dans un pays tiers – que cet importateur soit ou non soumis au RGPD pour le traitement en cause conformément à l’article 3 -, ou est une organisation internationale ».

Dans le cas d’espèce, nous observons deux situations. Dans la première situation (Situation 1), c’est via l’intermédiaire de l’application Uber hébergée aux États-Unis que sont collectées et stockées l’ensemble des données des chauffeurs incluant les données de compte, de localisation, mais aussi des données telles que les documents d’identité, les données criminelles, de santé ou licence de taxi. La deuxième situation (Situation 2) concerne les procédures de gestion des exercices des droits des personnes concernées. Uber permet aux chauffeurs d’exercer leurs droits de différentes manières : (a) via un formulaire hébergé dans l’application ou sur le site web d’Uber ; (b) par une adresse électronique dédiée (b) et par le biais d’autres formes de communication telles qu’un courrier ou une conversation téléphonique (c). Dans le cadre d’une demande effectuée via le moyen a), le flux de données passera directement aux États-Unis via l’accès à la plateforme par le terminal de l’individu peu importe l’entité à laquelle la personne concernée choisit de s’adresser. UTI est donc la seule entité à recevoir et à traiter la demande.

Dans le cadre d’une demande via courrier électronique, la situation sera similaire en ce que UTI gère le nom de domaine en « uber.com » qui est hébergé aux États-Unis. Dans le cas c), il faut décomposer deux situations soit le chauffeur contact directement les services des filiales ou ceux de la maison mère aux États-Unis. Dans le premier cas, les employés d’UBV traiteront la demande et rempliront les détails de celle-ci directement dans un système de gestion hébergé aux États-Unis et géré par UTI. Dans le deuxième cas, les données sont envoyées directement aux États-Unis par la personne concernée. Selon la technicité de la demande, les données seront soit téléchargées via l’application (ou le site web) ou présélectionnées par UTI, et un employé d’UBV sera chargé de vérifier l’export et l’envoyer à a personne concernée. Par conséquent, les situations impliquant des transferts sont nombreuses, mais aussi spécifiques. En revanche, on constate que la majorité des données sont collectées et transférées directement par les chauffeurs sur la Plateforme présente sur leurs terminaux à UTI. UBV n’intervenant pas techniquement dans le traitement, et donc l’absence potentielle d’exportateur.

Ainsi, concernant le i) et le iii) critère ces derniers sont bien remplis.  UBV et UTI sont bien soumis au RGPD. UTI est localisé aux États-Unis qui est un pays tiers. En revanche, concernant le point ii) « l’exportateur communique par transmission ou rend accessible par un autre moyen des données à caractère personnel, qui font l’objet de ce traitement, à un autre responsable du traitement, responsable conjoint du traitement ou sous-traitant (l’« importateur ») ».

Ici « techniquement », il n’y a pas d’exportateur puisque le chauffeur télécharge les données directement via l’application présente sur son terminal mobile. Or en l’absence d’exportateur, il n’y a plus d’entité qui doit se conformer aux règles de transferts et d’évaluer l’existence de garanties appropriées nécessaires pour assurer un niveau équivalent de protection des données à caractère personnel.

Or cette interprétation restrictive est incompatible avec l’objectif d’assurer un niveau élevé de protection des données à caractère personnel[16]. Ainsi, l’AP va s’écarter d’un modèle classique d’analyse des transferts en tenant compte des évolutions techniques. Et pour cela elle va tenir compte de deux éléments l’existence d’un flux de données entre l’EEE et les États-Unis et une influence exercée par le responsable de traitement sur le transfert. Concernant, le flux entre l’EEE et les États-Unis. Ici, Uber utilise l’application destinée aux chauffeurs comme outil technique pour transférer des données à caractère personnel de l’EEE vers les États-Unis. UBV partage la responsabilité de traitement concernant les transferts et exerce un contrôle sur le transfert de données à caractère personnel vers l’EEE.

Concernant le flux entre l’EEE et les États-Unis. Ici, Uber utilise l’application destinée aux chauffeurs comme outil technique pour transférer des données à caractère personnel de l’EEE vers les États-Unis. UBV partage la responsabilité de traitement concernant les transferts et exerce un contrôle sur le transfert de données à caractère personnel vers l’EEE.

Concernant l’influence exercée par le responsable de traitement, l’AP va se focaliser sur le contexte dans lequel les actions et la volonté des personnes concernées se réalisent et dégager un faisceau d’éléments constitutifs de cette influence. Si l’AP souligne qu’elle est consciente qu’il n’y a pas d’exemples référencés dans les lignes directrices du CEPD[17] (notamment dans le cadre d’une relation précontractuelle liée à un emploi), mais en l’espèce : la relation contractuelle entre les chauffeurs Uber de l’EEE et UBV s’appuie sur des conditions prérédigées, et non négociables qui seule permettent d’accéder à la plateforme et soumettent le chauffeur aux finalités et moyennes prédéterminées de traitement des données par l’UTI et l’UBV. En outre, l’activité principale consistant à fournir des services de transport sur la Plateforme exige que le chauffeur Uber télécharge des données personnelles et qu’Uber collecte en permanence des données personnelles à partir de l’appareil du chauffeur Uber (notamment pour la mise en relation, le parcours de la course, etc.). Ainsi, même si les chauffeurs ont conclu le contrat de leur plein gré, ils n’ont en revanche, pas de poids ni dans la négociation, ni dans la détermination des finalités et des moyens du traitement. L’absence d’autonomie est renforcée par l’influence d’Uber sur les comportements des chauffeurs. Cette influence s’exerce de plusieurs manières sur les chauffeurs d’une part via des incitations financières (avantages conférés à certains véhicules, système d’évaluation et processus d’exclusion, algorithme qui prédétermine le trajet, et enfin la fixation de certaines exigences supplémentaires relatives à la collecte (téléchargement de documents, assurances, absence de casier judiciaire, etc.). Cette influence témoigne donc d’une absence totale de contrôle sur les finalités et moyens de traitement en question. Les chauffeurs ne pouvant être considérés comme responsables de traitement dans les deux situations de transfert évoquées. L’AP va même plus loin en insistant sur l’existence d’une relation de travail hiérarchique et citant même un arrêt de la Cour de cassation[18]. Cette décision s’inscrivant dans une démarche de protection du statut des travailleurs des plateformes qui bénéficieront bientôt[19] d’une présomption de relation de travail.

Par ailleurs, l’AP ne retient pas la qualification de « traitement interne »[20]. En effet, deux responsables du traitement sont impliqués, UBV, basé dans l’UE, et UTI, basé aux États-Unis. Ces entités déterminent conjointement les finalités et les moyens du traitement des données à caractère personnel des chauffeurs Uber, comme décrit dans les situations 1 et 2.

Par conséquent, l’AP conclut les critères étant remplis, UBV se devait donc de respecter le chapitre V et de déterminer un instrument de transfert efficace au regard du droit et de la pratique en vigueur dans le pays tiers.

 

 

B – Analyse des mécanismes de transferts

 
     Conformément au chapitre V, les transferts en dehors de l’UE sont en principe interdit sauf en présence d’une décision d’adéquation[21] ou des garanties appropriées[22] telles que des CCTs, des règles contraignantes d’entreprise (BCR), ou des clauses contractuelles validées par l’autorité de contrôle compétente [23]. En l’absence de ces dernières, il est possible de recourir aux exceptions dans les conditions citées à l’article 49 du RGPD.

            Les transferts sont effectués entre l’EEE et les États-Unis. Or entre le 16 juillet 2020 (annulation du Privacy Shield) et le 10 juillet 2023 date de validation du Data Privacy Framework[24], les États-Unis ne sont plus couverts par une décision d’adéquation. Le recours aux CCT, a été abandonné par Uber le 9 aout 2021. Enfin, il ressort des échanges entre l’AP et Uber, aucun autre mécanisme listé à l’article 46 n’a été mis en place (pas de BCR ni de sollicitation de l’autorité pour la validation des clauses contractuelles). Ainsi durant cette période, seule l’utilisation des dérogations pouvait permettre à Uber d’avoir un instrument légitimant les transferts des données vers les États-Unis.

L’article 49 du RGPD qui établit une liste de dérogation, que l’on peut préciser par la lecture du considérant 111 du RGPD qui fait référence à des notions clés dans l’application des dérogations tel que le caractère accessoire et nécessaire du transfert[25]. En outre, les lignes directrices du 2/2018 du CEPD[26] « Le CEPD notent que le considérant 111 utilise le terme « occasionnel » et que le deuxième paragraphe de l’article 49, paragraphe 1, utilise le terme « non répétitif » dans la dérogation fondée sur les « intérêts légitimes impérieux ». Ces termes impliquent que des transferts similaires peuvent se produire plus d’une fois – mais pas régulièrement – et devraient intervenir dans des circonstances aléatoires, inconnues et à des intervalles irréguliers. Ainsi, un transfert de données qui se produit régulièrement dans le cadre d’une relation stable entre un exportateur de données et un importateur de données sera généralement considéré comme systématique et répétitif et par conséquent, non accessoire et non répétitif.

En l’espèce, deux dérogations sont avancées par Uber, les dérogations fondées sur l’article 49, paragraphe 1, point b) (pour la situation 1) et c) (pour la situation 2)  qui disposent : « En l’absence de décision d’adéquation en vertu de l’article 45, paragraphe 3, ou de garanties appropriées en vertu de l’article 46, y compris des règles d’entreprise contraignantes, un transfert ou un ensemble de transferts de données a caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes: (…)  b) le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ; c) le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale (…)».

S’agissant de la situation 1, qui pour rappel fait état de la collecte des données des chauffeurs dans le cadre de leur l’inscription, du suivi de leur comportement, du nombre de chauffeurs, de la quantité de données collectées, de la récurrence des transferts, ces transferts sont systématiques, continus, et répétitifs. Ainsi, le caractère accessoire et non répétitif ne peut être reconnu dans ce cadre, l’exception ne pouvant être invoquée.

S’agissant de la situation 2, et notamment de l’évaluation de l’exigence de nécessité. À cette fin, l’AP rappel que l’exigence de nécessité requiert que le traitement soit objectivement indispensable à l’exécution du contrat[27] et qu’il importe peu que le traitement soit utile au contrat. Le responsable de traitement doit donc démontrer que le lien de nécessité comme étant étroit et substantiel par rapport à la finalité de l’accord. Or en l’espèce, Uber apporte deux éléments d’une part que le transfert a lieu dans le contexte des accords de partage des données (entre UBV et UTI) et d’autre part que le traitement centralisé des données aux États-Unis est essentiel pour pouvoir offrir les services Uber et garantir les droits des personnes à la protection de leurs données. Or, concernant le lien de nécessité, la CJUE a déjà statué que la simple existence d’un accord ne suffit pas et qu’il est nécessaire de démontrer qu’il n’y ait pas une autre solution possible qui soit moins intrusive.[28] Et s’agissant du caractère essentiel, Uber a insisté sur des éléments d’efficacité et de rapidité des traitements effectués, sans démontrer en quoi il était crucial que ce traitement ait lieu aux États-Unis. Ainsi l’AP conclut que sur la période du 6 aout au 27 novembre 2023 Uber ne pouvait invoquer avec succès aucune des dérogations de l’article 49 et qu’en conséquence, lors de cette période, les données ont été transférées illégalement.

 

Conclusion & apports secondaires de la décision Uber

 

À la suite de la constations du défaut de respect de l’article 44 du RGPD légitimant les transferts. L’AP a prononcé une amende administrative à l’encontre d’Uber en vertu de l’article 58 (2) du RGPD.

L’AP a procédé d’une manière très didactique dans l’application des critères énoncés par les lignes directrices du 04/2002 sur le calcul des amendes administratives au titre du RGPD. Ces dernières prennent en compte les activités de traitement, la détermination du montant de départ, l’existence de circonstances atténuantes ou aggravantes, les montants maximaux applicables aux infractions et le fait que le montant final de l’amende doit répondre aux exigences d’efficacité, de dissuasion et de proportionnalité. En l’espèce, les éléments suivants ont été prépondérant dans la catégorisation de l’infraction comme étant grave :  (i) la nature de la violation – transferts de données dans un pays tiers ne satisfaisant pas aux conditions requises ; (ii) La durée du manquement – plus de deux ans et trois mois ; (iii) le fait que les transferts étaient au cœur de l’activité de traitement d’Uber, systématiques et continus (iv) les catégories de données à caractère personnel traitées ainsi que leurs quantités importantes – Uber collectait et transférait des données sensibles de l’ensemble des chauffeurs de l’UE (tel que des données de santé / données criminelles). Or l’accès par les autorités publiques américaines augmente sensiblement la gravité du manquement.

Enfin, s’appuyant sur le considérant 150 (…) « Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. (…) » or il est ressort de la jurisprudence de la CJUE qu’une entreprise est toute entité exerçant une activité économique, indépendamment de sa forme juridique et de son mode de fonctionnement[29]. Ainsi, l’unité économique importe et non les entités juridiques qui la composent. UBV étant une filiale à 100% de UTI, elles doivent être considérées comme faisant partie de la même société. Le chiffre d’affaires mondiale d’UTI de 2023 servant de base à la détermination du montant de la sanction administrative soit 37,281 milliards de dollars.

Ainsi, en prenant en compte la gravité de l’infraction, ce montant devra donc être situé à minima entre 20% (soit 273,881 millions d’euros) et 100% des 4% (1,379 milliard d’euros) du chiffre d’affaires mondial. Enfin, en l’état des considérations relatives à l’importance de la violation, l’AP fixe une amende à un montant de 290 millions d’euros, montant qu’elle estime comme étant efficace, proportionné et suffisamment dissuasif. Uber a déjà annoncé qu’il fera appel de la décision dont Caspar Nixon, porte-parole d’Uber a déclaré comme étant « erronée en droit » et que « cette amende extraordinaire est totalement injustifiée ». Affaire que nous suivrons de près.

 


[1] La première plainte déposée par la LDH a donné lieu à une sanction de 10 millions d’euros en décembre 2023 – lien de la décision en anglais – https://www.autoriteitpersoonsgegevens.nl/en/current/uber-fined-eu10-million-for-infringement-of-privacy-regulations

[2] Le Privacy Shield (Bouclier de protection des données en français), était un mécanisme d’auto-certification pour les sociétés établies aux État-Unis d’Amérique.Ce dispositif avait été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles transférées depuis une entité européenne vers des sociétés établies aux États-Unis. Le Privacy Shield UE-États-Unis était entré en vigueur le 1er août 2016. Le 16 juillet 2020, la grande chambre de la Cour de Justice de l’Union Européenne a invalidé la décision d’adéquation de la Commission Européenne, le privacy shield ne constituant plus une garantie juridique suffisante pour transférer des données personnelles de l’Union Européenne vers les Etats-Unis. Lien de la décision C-311/18  https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311

[3] Pour en savoir plus sur le mécanisme de guichet unique – https://www.cnil.fr/fr/le-guichet-unique

[4] Disponible à l’adresse – uber.com/legal/fr/document/?name=privacy-notice&country=france&lang=fr

[5] Le réglement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est entré en application le 25 mai 2018 et abroge la direction 95/46/CE,

[6] Accord de partage de données Uber – entre Uber B.V et Uber Technologies Inc. Champ d’application : Données personnelles d’Uber et données des  employés. Accord conclu le 6 aout 2021.

[7] Voir le paragraphe 42 de la décision en néerlandais téléchargeable – https://www.autoriteitpersoonsgegevens.nl/actueel/ap-legt-uber-boete-op-van-290-miljoen-euro-om-doorgifte-data-chauffeurs-naar-vs

[8] Voir en ce sens, Charte des droits fondamentaux de l’Union Européenne du 18 décembre 2000 ;

[9] Voir à cet égard C-311/18, Schrems II, ECLI:EU:C:2020:559, point 141 ;

[10] 39 Voir, dans ce contexte, par exemple, C-40/17, Fashion ID GmbH c Co. KG, ECLI:EU:C:2019:629, point 50.

[11] Article 45 du RGPD

[12] Article 46 du RGPD

[13] Article 47 du RGPD

[14] Article 49 du RGPD

[15] Voir à ce sujet les Lignes directrices 05/2021 sur l’interaction entre l’application de l’article 3 et des dispositions relatives aux transferts internationaux du chapitre V du RGPD

[16] A voir plus précisément dans le paragraphe 86 de la décision de l’AP.

[17] Lignes directrices du CEPD 05/2021 sur l’interaction entre l’application de l’article 3 et les dispositions relatives aux transferts internationaux du chapitre V du RGPD

[18] Voir en ce sens, Cour de cassation, civile, Chambre sociale, 4 mars 2020, 19-13.316, Publié au bulletin point 15 : « La cour d’appel, qui a ainsi déduit de l’ensemble des éléments précédemment exposés que le statut de travailleur indépendant de M. F… était fictif et que la société Uber BV lui avait adressé des directives, en avait contrôlé l’exécution et avait exercé un pouvoir de sanction, a, sans dénaturation des termes du contrat et sans encourir les griefs du moyen, inopérant en ses septième, neuvième et douzième branches, légalement justifié sa décision. »

[19] Voir la directive du Parlement Européen et du Conseil relative à l’amélioration des conditions de travail dans le cadre du travail via une plateforme – lien – https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52021PC0762

[20] Voir dans ce sens – paragraphe 17 des lignes directrices du 05/2021 et paragraphe 70 de la présente décision.

[21] Article 45 paragraphe 1 du RGPD qui dispose : « « Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu si la Commission a décidé que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés de ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Aucune autorisation spécifique n’est requise pour un transfert similaire. » 

[22] Article 46 paragraphe 1 du RGPD : «En l’absence d’une décision prise en vertu de l’article 45, paragraphe 3, le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale par un responsable du traitement ou un sous-traitant ne peut avoir lieu qu’à condition que ces derniers offrent des garanties appropriées et que les personnes concernées disposent de droits opposables et de voies de recours effectives »

[23] Article 46 paragraphe 3 point a) du RGPD qui dispose: « sous réserve de l’autorisation de l’autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par : a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; »

[24] Data Privacy Framework ou DPF : est le mécanisme reconnu comme étant adéquat par la Commission Européenne le 10 juillet 2023 – voir en ce sens https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf

[25] Considérant 111 du RGPD : « le transfert devrait être possible dans certains cas où la personne concernée a donné son consentement explicite, lorsque le transfert est accessoire et nécessaire dans le cadre d’un contrat ou d’une demande en justice, que l’action soit de nature judiciaire, administrative ou extrajudiciaire, y compris les procédures devant les organismes de règlementation. […] ». »

[26] Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement (UE) 2016/679

[27] 106 Arrêt de la CJUE du 4 juillet 2023 Meta (ECLI:EU:C:2023:537), paragraphe 98.

[28] Cf. arrêt de la CJUE du 4 juillet 2023 Meta (ECLI:EU:C:2023:537), point 99 : au contraire, la Cour déclare explicitement que le fait d’être « utile » ne constitue pas une nécessité.

[29]« la notion d’entreprise comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement »   CJCE, 23 avr. 1991, aff. C-41/90, Klaus Höfner et Fritz Elser c/ Macrotron GmbH : Rec. CJCE 1991, I, p. 1979. – TPICE, 22 oct. 1997, aff. jtes T-213/95 et T-18/96, Stichting Certifcatie Kraanverhuurbedrijf (SCK) et Federatie van Nederlandse Kraanverhuurbedrijven (FNK) c/ Commission : Rec. CJCE 1997, II, p. 1739).

Lumière sur … Les principaux apports de la loi SREN en matière de protection des données et, plus particulièrement, en matière de données à caractère personnel

La loi visant à sécuriser et à réguler l’espace numérique (SREN) a été promulguée le 21 mai 2024. Elle a été publiée au journal officiel du 22 mai 2024.

En premier lieu, la loi SREN a pour objectif d’adapter le droit français à de nouveaux textes européens tels que le règlement sur les services numériques (DSA), le règlement sur le marché numérique (DMA), le règlement sur la gouvernance européenne des données ou « Data Gouvernance Act » (DGA). Ici, il ne s’agit pas d’une transposition de ces textes européens par la loi SREN en droit français, car ce sont des règlements et non des directives, mais cette loi permet d’adapter le droit français pour pouvoir appliquer ce « parquet numérique » européen.

En second lieu, la loi SREN prévoit un ensemble de mesures permettant de mieux réguler l’espace numérique, protéger les internautes, ainsi que les entreprises. Les sujets abordés par la loi sont nombreux comme la protection des enfants de la pornographie, la mise en place d’un filtre de cybersécurité anti-arnaque à destination du grand public, la lutte contre la désinformation de médias étrangers, la réglementation de l’informatique en nuage (le Cloud), etc.

Mais ce qui attire le plus l’attention dans cette loi en matière de données personnelles sont les dispositifs de la loi SREN concernant la gestion et la protection des données. Ces dispositifs ne visent pas uniquement les données non personnelles, mais également, dans certains cas, les données à caractère personnel.

Il serait intéressant de faire un tour rapide sur les points de la loi SREN ayant des enjeux en matière de protection des données personnelles :

La protection des données stratégiques et sensibles dans le cloud

La loi SREN consacre un chapitre à la protection des données stratégiques et sensibles qui sont stockées sur un cloud privé fourni par les fournisseurs de services cloud.

Avant tout, il faut souligner qu’elles ne concernent pas uniquement des données à caractère personnel. La loi précise que les données d’une sensibilité particulière sont des données à caractère personnel ou non si leur violation peut entraîner une atteinte à l’ordre publique, à la santé, à la vie privée des personnes ou à la propriété intellectuelle.

Selon la définition, la qualification des données d’une sensibilité particulière sont les données relevant de secrets protégés par la loi et les données qui sont nécessaires à l’accomplissement des missions essentielles de l’État. Par conséquent, les données d’une sensibilité particulière englobent des données non-personnelles, ainsi que des données personnelles, notamment les données de santé à caractère personnel.

Vu l’importance des données d’une sensibilité particulière pour l’accomplissement des missions de l’État, les nouvelles dispositions de la loi SREN indiquent que lorsque les administrations de l’État, de ses 400 opérateurs ou des groupements d’intérêt public, y compris le Health Data Hub, confient le stockage des données stratégiques et sensibles aux prestataires privés de cloud, ils doivent veiller à ce que ces fournisseurs de cloud mettent en œuvre des mesures de sécurité et de protection des données afin d’éviter tout accès à ces données par des autorités publiques des États tiers.

Dans un délai de 18 mois à partir de la promulgation de la loi SREN, le gouvernement va remettre au parlement un rapport. Ce dernier aura l’objectif d’évaluer les moyens supplémentaires qui pourront être pris en compte afin d’augmenter la protection face aux risques et menaces que les législations extraterritoriales peuvent apporter aux données qualifiées comme ayant une sensibilité particulière. De plus, ce rapport va évaluer la possibilité de soumettre les entreprises de cloud, établies en dehors de l’Union européenne à un chiffrement certifié par l’Agence nationale de sécurité des systèmes d’information (ANSSI).

Quant à l’hébergement des données de santé, la loi mentionne qu’un décret va préciser les exigences en matière de transfert ou d’accès non autorisé par des États tiers.

L’élargissement du champ de compétence de la CNIL

Au titre du DGA

La loi SREN désigne la CNIL comme autorité compétente pour l’altruisme des données prévu par le règlement « Data Gouvernance Act » (DGA).

L’altruisme des données, ou data altruism en anglais est un modèle prévu par le DGA. Il permet aux parties prenantes (entreprises, particuliers, etc.) de partager les données pour des motifs d’intérêt général fondés sur le consentement par les personnes concernées ou l’autorisation accordée par les détenteurs de données à caractère personnel.

Selon ses nouvelles compétences, la CNIL pourra recevoir et traiter des demandes de notification d’organisations d’organisation altruistes en matière de données (OAD). De plus, la CNIL assurera la tenue du registre national des organisations altruiste en matière des données et le cas échéant traitera les plaintes relatives à ces organisations.

En cas de manquement de l’organisation altruiste à ses obligations, prévue par le DGA, la CNIL peut prononcer à leur égard des mesures correctrices comme la mise en demeure, la radiation du registre national ou une amende ne pouvant excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

Au titre du DSA

La CNIL est désignée comme l’autorité compétente pour contrôler le respect de certaines obligations issues du DSA à l’égard des plateformes en ligne. Le champ des compétences de la CNIL concerne le contrôle du respect des obligations renforcées par ces plateformes sur la transparence en matière de publicité ciblée, l’interdiction du profilage sur la base des données sensibles ou le profilage des mineurs. A cette fin, la CNIL a de nouveaux moyens de contrôle : le pouvoir de saisir tout document sous le contrôle du juge et la possibilité d’enregistrer les réponses des personnes auditionnées.

Attribution aux juridictions d’une autorité de contrôle au sens RGPD

La loi SREN apporte des changements au code de justice administrative, au code de l’organisation judiciaire, ainsi qu’au code des juridictions financières. Selon ces modifications, le Conseil d’État, la Cour de cassation et la Cour de compte, chacun aura une autorité contrôle élue pour une durée de trois ans, renouvelable une fois, pour contrôler les traitements de données à caractère personnel effectuées par les juridictions administratives et judiciaires dans leurs fonctions juridictionnelles.

Modification apportée à la loi pour la confiance dans l’économie numérique (LCEN)

L’article 48 de la loi SREN apporte des modifications à la LCEN qui impliquent pour les éditeurs d’un service de communication au public en ligne de mettre à disposition du public « le cas échéant, le nom, la dénomination ou la raison sociale et l’adresse des personnes physiques ou morales qui assurent, même à titre gratuit, le stockage de données traitées directement par elles dans le cadre de l’édition du service ».

Que signifie cela dans la pratique par exemple pour les éditeurs d’un site internet ou d’une application ?

Cela renforce le principe de transparence à l’égard des utilisateurs. En effet, désormais les éditeurs des sites internet, applications… doit mentionner via leurs mentions légales non seulement l’hébergeur de leurs sites ou applications, mais également les fournisseurs de cloud qui assurent l’hébergement des données des utilisateurs de services en ligne proposés par ces sites internet ou applications.

 

LUMIÈRE SUR… la conformité RGPD du système de vente aux enchères de données personnelles dans le cadre d’une publicité ciblée

Un nouvel arrêt vient ajouter une précision sur le mécanisme de suggestion de publicité ciblée à un utilisateur de site internet ou d’application.

En effet, le 7 mars 2024, la Cour de Justice de l’Union européenne (CJUE) s’est prononcée sur l’affaire opposant l’autorité de contrôle belge (APD) et l’IAB Europe.

L’IAB Europe est une association qui regroupe à la fois les entreprises du secteur de l’industrie de la publicité et du marketing numérique, et les associations nationales du même secteur. Celle-ci propose à ses membres un cadre de règles, appelé «Transparency Consent Framework (TCF)», afin d’assurer la conformité RGPD du traitement des données personnelles des utilisateurs dans le cadre du Protocole Real Time Bidding (RTB). En d’autres termes, ce protocole permet la vente et l’achat en temps réel d’espaces publicitaires sur internet par les opérateurs.

Pour contextualiser, en 2022, l’APD a rendu une décision à l’encontre de l’IAB Europe. Par cette décision, cette dernière a été qualifiée de responsable du traitement sur l’enregistrement dans une TC String des préférences de l’utilisateur selon les règles du TCF. La TC String (Transparency & Consent String) est une chaîne de lettres et de caractères dans laquelle les préférences des utilisateurs, notamment leur consentement ou non, sont codées et stockées. Combinée à un cookie, la TC String peut être liée à l’adresse IP de l’utilisateur. Par conséquent, elle a été considérée par l’APD comme étant une donnée personnelle.

L’IAB Europe a contesté la décision de l’APD devant la Cour d’appel de Bruxelles qui, à son tour, a posé des questions préjudicielles à la CJUE, notamment si la TC String est une donnée personnelle ou non (I), et si l’IAB Europe peut être considérée comme responsable conjoint du traitement (II).

I.             Sur le caractère personnel de la TC String

L’article 4.1 du RGPD définit les données à caractère personnel comme étant «toute information se rapportant à une personne physique (…) qui peut être identifiée directement ou indirectement». L’identification peut donc se faire par le recours à des informations supplémentaires. Le considérant 26 du RGPD ajoute même que les informations permettant d’identifier une personne peuvent ne pas se trouver entre les mains d’une seule personne.

En effet, la TC String contient des informations sur les préférences d’un utilisateur, donc se rapporte à une personne physique. Avec la combinaison des préférences de l’utilisateur et de son identifiant (notamment son adresse IP), il est possible pour les opérateurs de créer un profil sur celui-ci.

Certes, l’IAB Europe estime ne pas pouvoir combiner toute seule les informations sur la TC String et l’identifiant, mais cela n’enlève en rien le caractère personnel de la TC String. De plus, cet organisme a la possibilité de demander la communication de toutes les informations qui pourraient lui permettre d’identifier l’utilisateur. Elle possède donc les moyens raisonnables pour identifier une personne physique.

La TC String est donc considérée comme une donnée à caractère personnel.

II.            Sur la qualification juridique de l’IAB Europe

L’IAB Europe est considérée comme un responsable conjoint de traitement (RCT) avec ses membres. En effet, non seulement elle influe à des fins qui lui sont propres sur le traitement concernant la TC String, mais elle détermine également les moyens et les finalités du traitement avec ses membres. Cette influence se consolide par TCF, qui est un cadre de règles que les membres doivent accepter pour adhérer à l’association. La TCF contient entre autres : la manière dont les Consent Management Platform (CMP) recueillent les préférences des utilisateurs, ainsi que le stockage et le partage des TC String. De plus, selon la décision du 2 février 2022, il est possible pour les membres de consulter les préférences des utilisateurs dans le TC String.

Néanmoins, il est important de préciser que la responsabilité de l’IAB Europe n’est pas automatiquement engagée dans le cadre des traitements ultérieurs réalisés par des tiers, sur la base des préférences utilisateurs. En effet, un traitement de données peut être effectué sous plusieurs opérations, toutes à des stades différents. Sa responsabilité ne pourra être engagée que si elle a exercé une influence sur la détermination des finalités et des modalités des traitements ultérieurs.

Les 4 thématiques prioritaires de contrôle de la CNIL

Disposant d’un pouvoir discrétionnaire, la CNIL peut contrôler les organismes qui traitent des données personnelles, à la suite de plaintes qu’elle reçoit, de signalements qui lui sont faits, ou parce qu’elle décide de se saisir d’un cas particulier. Dans le cas où l’Autorité de contrôle française constate des manquements concernant la réglementation sur les données personnelles, elle peut décider d’une mise en demeure publique ou non, prononcer différentes mesures ou amendes administratives.
Chaque année, la CNIL se positionne sur des thématiques prioritaires pour orienter sa politique de contrôle sur les sujets de grande importance pour le public et également pour évaluer la conformité des acteurs choisis.

Le saviez-vous ? Ces thématiques représentent 30 % de ses contrôles effectués.

Pour 2024, la CNIL se concentrera sur 4 priorités :

Collecte de données dans le cadre des Jeux Olympiques et Paralympiques
Vu l’ampleur et le caractère international de l’évènement, qui implique de nombreuses personnes concernées, et au regard du nombre de partenaires étant susceptibles d’effectuer du transfert de données, pour la CNIL, il est nécessaire de vérifier les conditions de collecte des données personnelles, les informations fournies aux personnes concernées, ainsi que les mesures de sécurité mises en place.
La CNIL contrôlera les aspects sécuritaires et commerciaux des JO :

  • Sur la sécurité : Le strict usage des dispositifs de sécurité déployés dans le cadre de cet événement. La mise en place de QR code pour les zones à accès restreints, les habilitations d’accès et l’utilisation de caméras augmentées.
  • Sur l’aspect commercial : La collecte des données opérée dans le cadre des services de billetterie.

Données des mineurs collectées en ligne
L’utilisation des réseaux sociaux, sites de rencontre ou plateformes de jeux en ligne expose les mineurs à une collecte massive de leurs informations personnelles qui présentent des dangers pour leur vie privée, leur bien-être physique ou leur avenir socioprofessionnel.
En réponse à ces dangers, la CNIL vérifiera sur les applications et sites les plus appréciés par des enfants et adolescents, la mise en place de mécanismes de contrôle de l’âge, les mesures de sécurité et le respect de la minimisation des données personnelles.

Programme de fidélité et tickets de caisse dématérialisés
La CNIL souligne que la loi relative à la lutte contre le gaspillage et à l’économie circulaire peut entraîner des traitements complémentaires de données personnelles à des fins des envois du ticket par SMS ou courriel. À cette fin, elle se concentra sur l’information partagée avec les consommateurs et elle contrôlera le respect du consentement pour la réutilisation des données à des fins marketing.

Droit d’accès des personnes concernées
Dans le cadre d’une action coordonnée, le CEPD, Comité européen de la protection des données personnelles, donne un axe prioritaire à un certain sujet sur lequel les autorités de protection des données européennes doivent travailler au niveau national.
Par la suite, les résultats de leurs actions nationales sont regroupés et analysés. L’objectif du CEPD est de mieux comprendre le sujet et d’assurer un suivi ciblé au niveau national et européen.
Pour sa troisième action coordonnée, le CEPD a choisi le thème de la mise en oeuvre du droit d’accès par les responsables du traitement.
Comme les autres autorités de contrôle, la CNIL aussi, au niveau national, vérifiera les conditions de mise en œuvre du droit d’accès.

———-

Pour en savoir plus, vous pouvez consulter ce lien :

https://www.cnil.fr/fr/les-controles-de-la-cnil-en-2024-donnees-des-mineurs-jeux-olympiques-droit-dacces-et-tickets-de

LUMIÈRE SUR… La sécurisation juridique des opérations de prospection commerciale

Les acteurs de l’écosystème de la prospection commerciale, et de la publicité ciblée, cherchent souvent à s’affranchir des règles juridiques au détriment de leurs concurrents et de la protection des droits et libertés des individus.

En outre, le domaine de la prospection fait parfois intervenir une multitude d’acteurs, formant une « chaîne » par laquelle transitent les données des prospects. Cette multiplicité d’acteurs augmente le risque de non-respect des règles juridiques. Ainsi, il arrive parfois que « chaque maillon de la chaîne achète des données du maillon précédent en fermant les yeux sur la légalité de la collecte originelle ». Par conséquent, « une ignorance volontaire ou involontaire de la loi à un seul endroit dans la chaîne [suffis] pour que les données personnelles de millions de personnes soient marchandées illégalement avec des centaines d’entreprises »[1].

Afin de responsabiliser l’ensemble des acteurs, la CNIL[2] adopte une interprétation stricte des dispositions légales applicables, dont le RGPD[3] ainsi que les autres dispositions spécifiques[4] aux opérations de prospection commerciale ou de retargeting publicitaire. Ainsi, la CNIL a récemment sanctionné deux sociétés dans le cadre de leurs pratiques en matière de prospection respectivement[5] et de retargeting publicitaire en ligne[6]. Dans les deux cas de figure était notamment en cause le respect des obligations en matière de recueil du consentement des personnes concernées, et de preuve de la validité de ce dernier.

Ainsi, afin de sécuriser les opérations de prospection commerciale, il est primordial de respecter les (I.) règles juridiques en matière de prospection commerciale, dont la CNIL a une interprétation stricte (II.) notamment en matière d’information des prospects lors du recueil de leur consentement à des fins de prospection commerciale. Lorsqu’une chaîne d’intermédiaires est impliquée dans les opérations de prospection, la sécurisation passe par (III.) un encadrement et une collaboration étroite entre les prospecteurs et les primo-collectant des données.


I. Les règles juridiques applicables aux opérations de prospection commerciale

En réalité, toutes les opérations de prospections de prospection commerciales ne nécessitent pas nécessairement de recueillir préalablement le consentement des prospects. Dans certains cas de figure, le Responsable de traitement peut opérer un choix entre le consentement (dit « opt-in »), et l’intérêt légitime[7] (ou « opt-out »).

Ainsi, le recueil du consentement est imposé dans les cas de figure suivants :

  • Pour le dépôt de cookies ayant des finalités publicitaires, ou de suivi à des fins publicitaires[8] ;
  • Ainsi que pour la prospection directe par voie électronique (par SMS, MMS, e-mail)[9].

Lorsque les opérations de prospection commerciale, ou de retargeting publicitaire, sont fondées sur le consentement de la personne concernée, le Responsable de traitement doit s’assurer de la validité de ce dernier[10]. Il doit notamment informer la personne concernée[11], mettre en place un mécanisme pour que ce dernier se manifeste par un acte positif de la personne concernée [11], et lui fournir un moyen lui permettant de retirer ce consentement à tout moment[12].

La CNIL reconnaît la possibilité de choisir entre le consentement, et l’intérêt légitime, pour les cas de figure suivants :

  • La prospection commerciale par mail d’une personne déjà cliente pour des produits ou services analogues à ceux déjà achetés[13] ;
  • La prospection commerciale à destination de professionnels lorsqu’elle est en lien avec leur profession[14] ;
  • La prospection commerciale par voie postale, ou téléphonique hors automates d’appel[15].

Dès lors, il sera nécessaire de prévoir cumulativement : l’information de la personne concernée[16], et un mécanisme permettant de s’opposer à la prospection commerciale lors de la collecte des données ainsi qu’à tout moment lors des activités de prospection commerciale[17].

En cas de non-respect de ces dispositions, le Responsable de traitement s’expose notamment à une sanction administrative de la CNIL d’un montant maximal de 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu[18]. Ce dernier s’expose également à une sanction pénale pour tout détournement de finalités, pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende[19].


II. L’importance de l’information des prospects lors du recueil de leur consentement à des fins de prospection commerciale

Dans de nombreux cas de figure, le prospecteur ne collecte pas directement les coordonnées du prospect. Un intermédiaire, dit « primo-collectant » transmet alors les données collectées auprès des prospects au prospecteur. Lorsque les opérations de prospection commerciale reposent sur le consentement, il sera nécessaire de s’assurer que le primo-collectant a correctement collecté le consentement de ces des prospects.

Ainsi, le prospect consent-t ’il à la transmission de ses données à des prospecteurs clairement identifiés, ou peut-il seulement consentir à la transmission de ses données à des catégories de prospecteurs ?    

La CNIL avait déjà pris position dans une précédente sanction en date du 24 novembre 2022 en considérant que pour que le consentement soit valide « les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées »[20]. Cette exigence équivaut donc à fournir clairement les objectifs de prospections commerciales liées à la transmission des données, ainsi que la liste exhaustive des prospecteurs.

Cette position est confirmée dans la récente sanction à l’encontre de la société CANAL +[5] prononcé par la CNIL. Il faudra alors fournir aux prospects, lors du recueil du consentement, « une liste exhaustive et mise à jour, […] par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs ». Juridiquement, la CNL fait une lecture « combinée des articles L. 34-5 du CPCE et 7, paragraphe 1, du RGPD » tel qu’éclairé par « l’article 4, paragraphe 11, du RGPD », pour établir que le consentement ne peut être informé que lorsque la personne a expressément consenti au traitement de ses données par ce même Responsable de traitement prospecteur.

En d’autres termes, pour la CNIL, le prospect ne consent qu’à la transmission de ses données auprès des seuls prospecteurs clairement identifiés comme destinataires des données lors de la collecte du consentement. Ainsi, une double information est donc à fournir aux prospects dans ce cas de figure. Du point de vue du primo collectant, il s’agit d’une collecte directe[21] ce dernier devra donc fournir les mentions d’information relative à l’article 13 RGPD. Le prospecteur se voyant transmettre les données, dois fournir dans le cadre de la collecte indirecte des données l’ensemble des mentions d’informations ainsi que la source des données[22].

En outre, si les seules catégories de destinataires figurent dans les mentions d’informations lors du recueil du consentement, une solution de contournement devra être mise en place. Afin de permettre au prospecteur de prospecter par voie électronique les personnes concernées, ce dernier pourra leur envoyer un premier mail « neutre » afin de recueillir leur consentement à la prospection commerciale. Ce mail « neutre » devra comporter : les finalités des opérations de prospection, les mentions d’informations complètes du prospecteur, la source auprès de laquelle les données des prospects ont été recueillies, et enfin un mécanisme permettant de recueillir le consentement.


III. Comment encadrer les relations entre prospecteurs et primo-collectant des données ?

Plutôt qu’opposer les primo-collectant des données aux prospecteurs, il est préférable d’envisager une collaboration étroite entre ces derniers qui permettra d’une part de sécuriser les opérations de prospection commerciale du prospecteur, et d’autre part de valoriser le flux de prospects transmis par le primo-collectant.

Ainsi, en amont, prospecteurs et primo-collectant doivent encadrer contractuellement leurs relations. Ce contrat doit prévoir à minima :

  • Les qualifications juridiques de chacun des acteurs, et le cas échéant inclure dans le contrat les mentions spécifiques relatives à la Sous-traitance[23] ou à la Responsabilité conjointe de traitement[24];
  • Les obligations de chacun au regard du recueil valide du consentement, de la fourniture des mentions d’informations, ainsi que de la gestion des demandes d’exercice de droit ;
  • La conservation et la documentation des preuves du consentement des prospects ;
  • Et également, la responsabilité de chacun des acteurs en cas de manquement à leurs obligations.

De plus, tout au long de leur relation, ces derniers devront prévoir des mécanismes spécifiques afin de garantir le respect des obligations légales dont :

  • La gestion des demandes d’exercice de droit des prospects dans un délai maximal de 1 mois, ainsi que la transmission effective de ces demandes entre les différents acteurs de la chaîne : telles les demandes de retrait du consentement, d’exercice du droit d’opposition ;
  • La transmission des preuves du consentement des prospects, notamment pour démontrer leur validité dans le cadre d’un contrôle de la CNIL auprès de l’un des acteurs ;
  • Lorsque cela s’avère nécessaire, la mise en place d’une campagne de recueil du consentement des prospects (notamment si seules les catégories de destinataires ont été fournies lors du recueil du consentement ;
  • Et enfin, assurer la traçabilité du consentement des prospects, et la conservation d’une liste des prospecteurs pour lesquels ils ont consenti.

Dans tous les cas, une attention particulière doit être apportée à la sécurité des flux de données des coordonnées des prospects transmises entre le primo-collectant et le prospecteur[25].

———————————————-


BIBLIOGRAPHIE

[1] Le Monde Tribune de Lucie Audibert, et Eliot Bendinelli, Criteo : « La décision de la CNIL s’attaque à la chaîne de production de données irresponsable qui règne dans l’industrie publicitaire en ligne », publié le 30 août 2023, consultable en ligne : https://www.lemonde.fr/idees/article/2023/08/30/criteo-la-decision-de-la-cnil-s-attaque-a-la-chaine-de-production-de-donnees-irresponsable-qui-regne-dans-l-industrie-publicitaire-en-ligne_6187094_3232.html

[2] Commission Nationale de l’Informatique et des Libertés

[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »), consultable en ligne : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679

[4] Certaines règles de droit spéciales encadrent les opérations de prospection commerciale et de retargeting publicitaire, comme les articles L34-5 du Code des Postes et des Communications électroniques, ainsi que l’Article 82 de la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978

[5] CNIL, n°SAN-2023-015 du 12 octobre 2023 concernant la société CANAL +, sanction d’un montant de 600 000 euros, consultable en ligne : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048222771

[6] CNIL, n°SAN-2023-009 du 15 juin 2023 concernant la société CRITEO, sanction d’un montant de 40 millions d’euros, consultable en ligne : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047707063

[7] RGPD, Considérant 47 : « le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime »

[8] Loi Informatique et libertés n° 78-17 du 6 janvier 1978, article 82

[9] Code des Postes et des Communications électroniques, Article L34-5 alinéa 1er

[10] RGPD, Article 7.1

[11] RGPD, Article 4.11 : le « consentement » de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement

[12] RGPD, Article 7.3

[13] Code des Postes et des Communications Électroniques, Article L34-5 4ème alinéa

[14] CNIL, La prospection commerciale par courrier électronique, 18 mai 2009, consultable en ligne : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

[15] CNIL, La prospection commerciale par courrier postal et appel téléphonique, 26 janvier 2022, consultable en ligne : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-postal-et-appel-telephonique

[16] RGPD, Articles 12 à 14

[17] RGPD, Article 21.1 à 21.4

[18] RGPD, Article 83.5

[19] Code Pénal, Article L226-21

[20] CNIL, FR, 24 novembre 2022, SANCTION, n° SAN-2022-021, publié, consultable en ligne : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733?isSuggest=true

[21] RGPD, Article 13

[22] RGPD, Article 14

[23] RGPD, Article 28

[24] RGPD, Article 26

[25] RGPD, Articles 28 et 32

LUMIÈRE SUR … Les risques liés à la confidentialité des données utilisées pour l’entraînement des modèles d’Intelligence Artificielle

Lumière sur ... Les risques liés à la confidentialité des données utilisées pour l’entraînement des modèles d’Intelligence Artificielle - 1

Partage d’un modèle d’intelligence artificielle : attention au risque de réidentification des données utilisées pour l’entraînement du modèle

Pour automatiser la pseudonymisation de ses décisions, la Cour de cassation est progressivement passée d’un moteur de règles[1] à un système d’intelligence artificielle reposant sur l’apprentissage automatique. Cette nouvelle approche est définie par la CNIL comme : « un champ d’études de l’intelligence artificielle qui vise à donner aux machines la capacité d’apprendre à partir de données, via des modèles mathématiques », soit un « procédé par lequel les informations pertinentes sont tirées d’un ensemble de données d’entraînement »[2].

Ainsi, ce changement de paradigme permet à la Cour de cassation de réaliser des gains de temps, et d’adapter son outil de pseudonymisation à une plus grande variété de contextes. Néanmoins, le recours aux modèles d’apprentissage automatique génère de nouveaux risques : notamment la potentielle réidentification des données personnelles ayant été utilisées pour l’entraînement de ce dernier.

Ainsi, le 31 janvier 2023, un justiciable a demandé à l’administration la communication du code source du logiciel, ainsi que le modèle d’intelligence artificielle en tant que tel, utilisé par la Cour de cassation afin de pseudonymiser ses décisions de justice avant leur publication. Si le code source du logiciel fait lui déjà l’objet d’une diffusion publique, le Président de la Cour a toutefois expressément refusé la communication du modèle d’intelligence artificielle entraîné.

Ainsi, l’avis rendu par la Commission d’accès aux documents administratifs (CADA) en date du 30 mars 2023[3] dernier consacre la possibilité d’obtenir la communication des modèles d’intelligence entraînés utilisés par l’administration (I.), sous réserve que cette communication ne permette pas à des tiers de procéder à la réidentification des données personnelles présentes dans les données d’entraînement du modèle (II.). Ainsi, il est nécessaire de garantir la confidentialité des données d’entraînement d’un modèle d’intelligence artificielle mis en production (III.).

 

1. Les modèles d’intelligence artificielle entraînés : des documents administratifs susceptibles d’être communiqués

Le modèle d’intelligence artificielle utilisé par la Cour de cassation est composé de deux modèles d’intelligence artificielle ayant chacun subi une phase d’apprentissage propre[4] :

  • Tout d’abord, un apprentissage non supervisé[5] d’un modèle de langage, qui permet d’obtenir des vecteurs multidimensionnels de mots, a été réalisé sur plus de 2 millions de décisions de justice ;
  • Puis, un apprentissage supervisé[6] d’un algorithme de reconnaissance d’entités nommées, qui est une sous-tâche du premier, a été réalisé sur plusieurs milliers de décisions annotés.

Dès lors, la Commission d’Accès aux Documents Administratifs[7] (ou « CADA ») considère que de tels modèles, même entraînés, revêtent le caractère de documents administratifs, et peuvent le cas échéant faire l’objet d’une communication[3].

Pour rappel, l’article L300-2[8] du code des relations entre le public et l’administration définit les documents administratifs comme « les documents produits ou reçus, dans le cadre de leur mission de service public, par l’État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d’une telle mission » ; et ce, « quels que soient leur date, leur lieu de conservation, leur forme et leur support ».

 

2. Le risque de réidentification des données : l’extraction des données personnelles d’entraînement à partir d’un modèle d’intelligence artificielle

Le principe de libre communication des documents administratifs connaît certaines exceptions, notamment lorsque ces derniers sont susceptibles de porter atteinte à la protection de la vie privée d’une personne comme prévu par l’article L311-6 du code des relations entre le public et l’administration [9]. Le cas échéant, seule la personne concernée peut obtenir la communication des informations présentes dans ledit document.

En effet, il est possible dans certains cas de figure de reconstituer les données utilisées pour entraîner un modèle d’intelligence artificielle : le risque de réidentification des données personnelles utilisées pour entraîner le modèle. Ainsi, ce risque résulte :

  • De la structure de certains modèles d’intelligence artificielle qui conservent au sein de leurs paramètres les données d’entraînement dans leur forme initiale[10] ;
  • Mais également de certaines formes d’attaques, dont les attaques « par inversion du modèle »[11] qui visent spécifiquement à reconstruire le jeu de données ayant permis d’entraîner un modèle.

Or en l’espèce, le président de la Cour de cassation considère que les données pseudonymisées dans les décisions rendues publiques peuvent être reconstitués via des opérations de rétro-ingénierie, sur la base des paramètres de configuration des modèles entraînés. En outre, l’algorithme de reconnaissance des entités nommées est un modèle génératif[12] ayant la capacité de mémoriser les données d’entraînement. Par conséquent, la CADA en déduit que « en l’état actuel des connaissances scientifiques » le risque de réidentification des personnes figurant dans les décisions présente « un caractère suffisant de vraisemblance pour être tenu pour acquis ».

En effet, un attaquant disposant du modèle et de l’ensemble de ses paramètres (soit une attaque menée en mode « boîte blanche »[13]) aurait davantage de facilités à reconstituer les données occultées présentes dans les décisions pseudonymisées, dès lors que ces dernières font partie du jeu de données d’entraînement du modèle. Ainsi, un modèle d’intelligence artificielle sera d’autant plus performant lorsqu’il est confronté à ses propres données d’entraînement.

Ainsi, la CADA considère que la communication desdits modèles d’intelligence artificielle est de nature à porter atteinte à la protection de la vie privée d’autrui, en permettant à des tiers de reconstituer le jeu de données utilisé aux fins d’apprentissage du modèle. Par conséquent, ces derniers peuvent réidentifier les personnes concernées dans les décisions de la Cour de cassation pseudonymisées.

 

3. Les mesures afin de limiter les risques de réidentification des données d’entraînement

Lors du recours à un modèle d’apprentissage automatique, il est important de garantir la confidentialité des données ayant été utilisées afin d’entraîner le modèle, et de s’assurer que ces dernières ne soient pas rendues accessibles à des tiers (attaquants ou partenaires).

Le risque de réidentification des données d’entraînement doit donc être analysé en amont de la mise en production du modèle. En outre, il faut prendre en considération la structure du modèle ainsi que les différents scénarios d’attaque possibles. Cette analyse doit faire l’objet d’une documentation par le Responsable du traitement.

D’autre part, afin de limiter le risque, et selon le contexte, plusieurs mesures peuvent être envisagées, dont notamment :

  • Privilégier le recours à des types d’algorithmes ne conservant pas les données d’entraînement dans la structure du modèle.
  • Utiliser des données synthétiques[14] afin d’entraîner le modèle d’intelligence artificielle, dès lors que les données utilisées pour l’entraînement ne sont pas des données personnelles le risque de réidentification d’un individu est minimisé.
  • Recourir à des API[15] plutôt qu’au partage du modèle en tant que tel[16], et limiter la fréquence et la portée des requêtes afin d’empêcher les attaquants d’accéder aux données d’entraînement.
  • Brider la performance d’un modèle, ou en interdire les utilisations et applications, dans le cadre d’une tâche ou d’un contexte distinct.
  • Restreindre l’accès à certaines informations aux attaquants, dont par exemple le score de confiance associé à une décision donnée, en le remplaçant par une simple mention sans précisions supplémentaires.
  • Analyser l’ensemble des bibliothèques, et codes sources, utilisés afin de prévenir la présence de vulnérabilités, ou de failles de sécurité, permettant à des tiers de récupérer les données d’entraînement (notamment par le biais d’une porte dérobée).
 

-bibliographie

[1] Un logiciel permettant d’automatiser des décisions à l’aide d’une logique prédéfinie.

[2] CNIL, Glossaire de l’intelligence artificielle, consultable en ligne : https://www.cnil.fr/fr/definition/apprentissage-automatique#:~:text=L’apprentissage%20automatique%20(machine%20learning,donn%C3%A9es%2C%20via%20des%20mod%C3%A8les%20math%C3%A9matiques.

[3] CADA, Avis n°20230314 – Séance du 30/03/2023, consultable en ligne : https://www.cada.fr/20230314

[4] Cour de cassation, Moteur de pseudonymisation de la Cour de cassation, 14 Février 2023, https://github.com/Cour-de-cassation/moteurNER

[5] « L’apprentissage non supervisé est un procédé d’apprentissage automatique dans lequel l’algorithme utilise un jeu de données brutes et obtient un résultat en se fondant sur la détection de similarités entre certaines de ces données », CNIL, Glossaire de l’intelligence artificielle, consultable en ligne : https://www.cnil.fr/fr/definition/apprentissage-automatique#:~:text=L’apprentissage%20automatique%20(machine%20learning,donn%C3%A9es%2C%20via%20des%20mod%C3%A8les%20math%C3%A9matiques.

[6] « L’apprentissage supervisé est un procédé d’apprentissage automatique dans lequel l’algorithme s’entraîne à une tâche déterminée en utilisant un jeu de données assorties chacune d’une annotation indiquant le résultat attendu », CNIL, Glossaire de l’intelligence artificielle, consultable en ligne : https://www.cnil.fr/fr/definition/apprentissage-automatique#:~:text=L’apprentissage%20automatique%20(machine%20learning,donn%C3%A9es%2C%20via%20des%20mod%C3%A8les%20math%C3%A9matiques.

[7] La Commission d’accès aux documents administratifs est une autorité administrative indépendante créer par la loi no 78-753 du 17 juillet 1978 ayant pour mission de fournir des avis aux personnes dont les demandes de communications de documents détenus par l’administration ont fait l’objet d’un refus

[8] https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000033218936

[9] Article L311-6 1° du code des relations entre le public et l’administration : « Ne sont communicables qu’à l’intéressé les documents administratifs : 1° Dont la communication porterait atteinte à la protection de la vie privée », legifrance.gouv.fr/codes/article_lc/LEGIARTI000037269056

[10] A titre d’exemple, la CNIL cite : « les algorithmes de clustering k-NN et de classification SVM », Laboratoire Numérique d’Innovation de la CNIL, Dossier Sécurité des systèmes d’IA, Avril 2022, p. 20, consultable en ligne https://linc.cnil.fr/sites/linc/files/atoms/files/linc_cnil_dossier-securite-systemes-ia.pdf

[11] Dit également « model inversion attacks », Les  attaques par inversion visent à extraire une représentation moyenne de chacune des classes sur lesquelles le modèle a été entrainé », Laboratoire Numérique d’Innovation de la CNIL, Dossier Sécurité des systèmes d’IA, Avril 2022, p. 20, consultable en ligne https://linc.cnil.fr/sites/linc/files/atoms/files/linc_cnil_dossier-securite-systemes-ia.pdf

[12] « Par opposition à un modèle discriminatif, le modèle génératif permet à la fois de générer de nouveaux exemples à partir des données d’entraînement et d’évaluer la probabilité qu’un nouvel exemple provienne ou ait été généré à partir des données d’entraînement », CNIL, Glossaire de l’Intelligence Artificielle https://www.cnil.fr/fr/definition/modele-generatif

[13] Contrairement à une attaque en mode « boîte noire » l’attaquant connaît ici de nombreuses informations sur le système d’IA : « la distribution des données ayant servi à l’apprentissage du modèle (potentiellement l’accès à certaines parties de celles-ci), l’architecture du modèle, l’algorithme d’optimisation utilisé, ainsi que certains paramètres (par exemples les poids et les biais d’un réseau de neurones) », Laboratoire Numérique d’Innovation de la CNIL, Dossier Sécurité des systèmes d’IA, Avril 2022, p. 20, consultable en ligne : https://linc.cnil.fr/sites/linc/files/atoms/files/linc_cnil_dossier-securite-systemes-ia.pdf]

[14] La synthèse de données est une technique visant à générer des données par le biais d’un modèle d’intelligence artificielle dédié répliquant les caractéristiques et les propriétés statistiques de données réelles tout en introduisant une part d’aléatoire. Ces données sont alors dénommées « données synthétiques », elles peuvent alors être des données anonymes au sens du RGPD et être utilisés afin d’entraîner un modèle d’intelligence artificielle. Voir en ce sens : Information Commissionner’s Office, Guidance on Privacy-enhancing technologies (PETs), 19 juin 2023, https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-sharing/privacy-enhancing-technologies/what-pets-are-there/synthetic-data/

[15] « Une API (application programming interface ou « interface de programmation d’application ») est une interface logicielle qui permet de « connecter » un logiciel ou un service à un autre logiciel ou service afin d’échanger des données et des fonctionnalités », CNIL, Glossaire, https://www.cnil.fr/fr/definition/interface-de-programmation-dapplication-api

[16] Information Commissionner’s Office, Guidance on AI And Data Proteciton, septembre 2023, consultable en ligne : https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/guidance-on-ai-and-data-protection/how-should-we-assess-security-and-data-minimisation-in-ai/#whatsecurityrisks